Создание blackports
Здесь рассматриваются каким образом можно с помощью связки iptables и fail2ban создать систему "blackports" (т.е. при попытке подключения к любому порту из списка все порты сервера блокируются на определенный период).
Процедура состоит из нескольких этапов:
- В iptables добавляется правило, что при обращении к любому порту из определенного списка, сообщение об этом обращении (например "connect to blackport") записывается в лог файл, и только после этого соединение обрывается.
- В fail2ban стоит анализ логов iptables и создан специальный фильтр, которое ищет в этих логах определенные строки (например "connect to blackport").
- в случае успешного нахождения таких сообщений fail2ban дает команду iptables закрыть доступ ко всем портам для атакующего IP адреса.
- Обязательно в настройках fail2ban должны быть указаны исключения ("белый список" IP адресов). Например, в этот список входят DNS серверы, и т.д.
Добавление правила в iptables
Конфигурационный файл iptables в CentOS: /etc/sysconfig/iptables. В него необходимо добавить следующие правила:
В данном примере указаны порты с 20000 по 25000. В каждом конкретном случае Вам необходимо выбрать нужный диапазон портов.
Поскольку обычно blackports предназначены для "сокрытия" рабочих портов, то перед этими правилами имеет смысл поставить правило, разрешающее коннект на требуемый порт.
Добавление фильтра в fail2ban
Пример файла /etc/fail2ban/filter.d/blackports.conf
Добавление "изолятора" в jails.conf
|
Вы находитесь здесь: Linux
-> Безопасность
-> Создание blackports
|